Symantec har fundet en ny variant af Conficker/Downadup-ormen som er langt mere aggressiv end forgængerne. Den nye variant har fået indbygget selvforsvarskode og forsøger at stoppe kørende processer på computeren, herunder antivirus-programmer.
Den gamle B-variant af ormen havde en indbygget domæne-generator, som genererede 250 tilfældige domæne-adresser per dag, der blev brugt til at tjekke for nye opdateringer. I den nye C-variant er dette øget til 50.000 domæner om dagen.
Det betyder at det bliver meget sværere at blokere for de domæner, som ormen forsøger at kontakte.
Hvis blot én inficeret computer finder frem til en kontrol-server, så kan den efterfølgende opdatere andre ved hjælp af peer-2-peer funktionalitet, fortæller den danske sikkerhedsekspert Tonny Bjørn i sin blog.
Antallet af inficerede computere menes at være faldet i de sidste uger, men ligger stadig et sted mellem flere hundredtusinde og adskillige millioner.
Conficker udnytter et sikkerhedshul der blev lukket af Microsoft allerede i oktober og softwarefirmaet har udlovet en dusør på 250.000 dollar for oplysninger der fører til bagmændene.
Spørgsmålet er, hvad de mange Conficker-inficerede bot-computere skal bruges til. Det kunne f.eks. være et denial-of-Service angreb eller udsendelsen af spam-mails. Indtil videre har bagmændene ikke »trykket på den røde knap« og aktiveret Conficker-botnettet.
Internet-ormen har heller ikke forvoldt direkte skade på de inficerede systemer, udover de ressourcer, der skal bruges på at rense systemerne efter ormeangrebet.
